Actualitate
Nouă amenințare cibernetică: Atacatori compromit pachete Ruby pentru a fura date sensibile din Telegram

Pachete RubyGems malițioase, mascate drept plug-in-uri pentru Fastlane, redirecționează în secret API-ul Telegram spre servere controlate de atacatori.
Atacatori compromit pachete Ruby pentru a fura date sensibile din Telegram, folosind două plug-in-uri malițioase care imită extensii oficiale pentru platforma Fastlane, o unealtă open-source utilizată la scară largă în dezvoltarea rapidă de aplicații mobile.
Atac sofisticat pe lanțul de aprovizionare software
Cercetătorii echipei Socket Security Threat Research au descoperit două pachete RubyGems – „fastlane-plugin-telegram-proxy” și „fastlane-plugin-proxy_teleram” – care se dau drept extensii legitime pentru Fastlane. Acestea modifică discret endpoint-ul către care sunt trimise cererile Telegram API, redirecționând datele către servere de tip C2 controlate de atacatori.
Printre datele interceptate se numără ID-uri de chat, mesaje, fișiere atașate, credențiale de proxy și token-uri de bot Telegram, ce pot fi utilizate ulterior pentru compromiterea conturilor și a comunicațiilor automate din aplicație.
Indicii de motivație geopolitică și impact global
Conform cercetătorului Kirill Boychenko, atacul a fost probabil motivat geopolitic, apărând la scurt timp după ce Vietnamul a blocat Telegram. Totuși, natura open-source și distribuția RubyGems transformă acest atac într-o amenințare globală, afectând dezvoltatori din întreaga lume care instalează neintenționat pachetele infectate.
Măsuri urgente de remediere recomandate
Organizațiile care suspectează compromiterea trebuie să elimine pachetele malițioase imediat, să recompileze aplicațiile afectate și să rotească toate token-urile Telegram utilizate. Este esențială și implementarea unui program de securitate API robust pentru a preveni atacuri viitoare în lanțul de aprovizionare software.
Atacatori compromit pachete Ruby pentru a fura date sensibile din Telegram – un pericol nedetectat de testele automate
Codul pachetelor malițioase copiază aproape integral cel al plug-in-ului oficial „fastlane-plugin-telegram”, care are peste 600.000 de descărcări. Doar o linie, cea care redirecționează traficul API, a fost modificată. Această subtilitate le permite să treacă nedetectate de majoritatea testelor automate, sporind gravitatea atacului.

-
Actualitate2 săptămâni,
AVERI DE ALEŞI: Consiliera cu declaraţia de avere… scurtă
-
Actualitate2 săptămâni,
PSD la Guvernare, ce nemţeni sunt în cărţi şi pentru ce funcţii?
-
Actualitate2 săptămâni,
PSD intră la guvernare. Pronostic confirmat
-
Actualitateo săptămână,
Un deputat de Neamţ e la un pas să fie dat afară din partid. Ce replică dă acesta. Cine a pierdut controlul
-
Actualitateo săptămână,
Deversare controlată la barajul Izvoru Muntelui
-
Actualitate2 săptămâni,
Titluri de stat Fidelis în iunie 2025. Câștigă până la 8,35% pe an, fără impozit! Uite ce condiții trebuie să îndeplinești
-
Actualitateo săptămână,
CSM Ceahlăul are o misiune aproape imposibilă. Cu cine se va duela în Liga 2
-
Actualitate2 săptămâni,
Descoperă o „Călătorie subacvatică”: perle, corali și viețuitoare fascinante, într-o expoziție spectaculoasă la Roman